冠群金辰整体安全解决方案

冠群金辰整体平安解决方案北京冠群金辰软件有限公司2007年12月

目录TOC\o"1-2"\h\z\u第一章 网络平安威逼分析 31.1 混合型威逼 31.2 用户的需求 51.3 平安限制措施 6其次章 平安体系设计 92.1 网络信息平安策略 92.2 防治三要素 122.3 多层次立体防护 14第三章 冠群金辰平安产品说明 163.1 KILL网络防病毒系统 163.2 KILL过滤网关-防毒墙 193.3 KILL邮件平安网关 243.4 KILL终端平安管理系统 283.5 KILL漏洞扫描器 373.6 KILL防火墙 393.7 KILL入侵检测系统 413.8 eTrust效劳器核心防护系统 51第四章 技术支持效劳 564.1 技术效劳体系 564.2 技术支持保证 594.3 培训效劳 60第五章 冠群金辰公司简介 61

网络平安威逼分析近年来，随着互联网技术的广泛应用，网络平安事务也层出不穷。以冲击波〔Blaster〕、震荡波、MyDoom等为代表的混合型威逼更是通过网络造成全球范围的影响。每当这些平安事务爆发时，成千上万联网的计算机往往受到破坏性攻击，造成的结果是数据破坏、系统异样、网络大面积瘫痪。混合型威逼的危害性极大、影响面极广，涉及企业、政府单位和个人，影响到社会政治、经济、文化生活等各个方面。探讨混合型威逼解决方案对于改善网络信息平安状况是特殊有意义的。混合型威逼混合型威逼并不是某一种特定的威逼，而是指以计算机病毒、蠕虫、特洛伊木马、入侵攻击、以及由这些威逼导致的具有黑客性质的非法入侵行为等。由于网络传播的快速性，利用网络传播的混合型威逼也更加难以防范，影响的范围也更大。面对混合型威逼，人们虽然接受了以防病毒为主的多种平安限制措施，但往往处理方式单一，收效甚微。我们须要依据混合型威逼的困难性，接受踊跃主动的综合防备措施，最大限度地限制平安风险。计算机病毒人们对计算机病毒已经特殊熟悉了。可以说，几乎每个运用过计算机的人，或多或少对“病毒”都有所了解，因为几乎每个人都有过受害的阅历。计算机病毒〔Virus〕实质上是一段程序代码，只不过这段程序代码具有危害作用，并且能够自我复制。计算机病毒有两个主要特性：破坏性、传染性。它主要通过电子邮件、网络文件下载、网络访问、移动介质〔软盘、光盘、U盘等〕形式进展传播，造成数据信息破坏〔损毁、篡改、窃取〕、系统破坏〔损坏、异样、被远程限制〕、网络异样〔网络堵塞〕。蠕虫目前公众乃至业界对计算机蠕虫的理解还不统一，时时将它归类到病毒范畴。虽然从广义上可以这样理解，但严格来讲，“蠕虫”和“病毒”并不一样。区分蠕虫和病毒的意义在于，依据各自不同的特点，有利于接受不同的技术各个击破。随着近年来蠕虫危害的加剧，在概念和技术限制手段上加以区分就显得更为必要。“蠕虫”〔Worm〕除了具备“病毒”的破坏性和传染性之外，还具备另外两个特点：1.利用系统漏洞进展攻击；2.通过网络广泛传播。蠕虫通过网络传播，造成的危害广泛、快速、经济损失巨大。仅“冲击波”蠕虫就导致了全球30万～50万台电脑受到影响，估计的经济损失约为15亿～20亿美元。蠕虫攻击手法多样，往往会导致网络大面积瘫痪，影响网上业务和工作的正常运转。由于蠕虫利用系统漏洞进展攻击，传统防病毒系统很难进展有效处理。只要漏洞存在，即便进展“查杀”，照旧会不断受到攻击。蠕虫是混合型威逼的典型代表〔比方冲击波、震荡波、蠕虫王等〕，它具备病毒的传播特性，可以“种植”木马，使感染机器受到外界黑客限制，可以利用系统漏洞进展入侵，发动拒绝效劳攻击〔DoS/DDoS〕造成网络瘫痪。入侵攻击伴随着网络业务的开展，网络入侵攻击事务也时有发生。黑客通过找寻发觉网络漏洞，入侵银行、电信、政府、企业等等重要用户网络，窃取或篡改数据、破坏系统和网络的正常运行。网络入侵攻击能够得逞的主要缘由是网络存在漏洞、平安限制措施不得力所致。欺瞒不法分子除了通过技术行为进展攻击外，还可能通过“欺瞒”的手法进展破坏，这也就是通常所说的“社会工程学”〔SocialEngineering〕。“欺瞒”常用的手段有：电子邮件信息欺瞒〔垃圾邮件〕、网络程序欺瞒下载、假冒网站等形式。近来流行的“网络钓鱼”就属于典型的欺瞒手法。“钓鱼者”可能制作一个假冒网站，然后通过发送垃圾邮件等形式引迷人们上当。当受骗者访问其假冒网站，并且输入信用卡帐号、密码等信息时，犯罪分子随即得手。混合型威逼的产生缘由混合型威逼的危害很大。那么造成混合型威逼的缘由是什么呢？一方面，互联网的大范围普及、电子邮件的广泛应用，为混合型威逼缔造了条件；另一方面，网络和系统存在大量漏洞的事实，也使黑客攻击、蠕虫攻击有机可乘。不管是利用漏洞方式，还是接受欺瞒手段，都有可能造成危害。混合型威逼的形成过程混合型威逼有各种各样的攻击方式，这里以典型的蠕虫攻击过程进展说明，其形成过程大致可以归纳为如下步骤：扫描：蠕虫扫描网络，探测网上活动的计算机。攻击：一旦发觉网络存在漏洞的计算机，立刻自动绽开攻击。感染：攻击成功后，受攻击计算机感染蠕虫。接着攻击：受感染对象成为新的传染源，接着对其它联网的计算机绽开攻击。通过以上过程，蠕虫攻击速度将呈几何级数增长，很快会导致网络瘫痪。几个例子近几年在全球范围内爆发了大规模的混合型威逼。我们通过下面表格可以可以了解蠕虫、邮件病毒的传播方式和危害后果。蠕虫时间传播方式危害后果莫里斯蠕虫(Moris)1988Unix漏洞，网络入侵大面积数据堵塞、死机红色代码(CodeRed)2001IIS漏洞，网络入侵。DDoS攻击，网络瘫痪尼姆达(Nimda)2001IE漏洞、CodeRed后门、邮件DDoS攻击蠕虫王(Slammer)2003SQL漏洞，扫描端口，远程攻击。网络大面积瘫痪。冲击波(Blaster)2003WindowsRPC漏洞,远程攻击。系统异样、重启、崩溃，网络大面积瘫痪。震荡波(Lsass)2004WindowsRPC漏洞网络大面积瘫痪邮件病毒时间传播方式危害后果美丽杀手(Sircam)1999电子邮件网络堵塞、文件破坏求职信(Klez)2001电子邮件邮件病毒堵塞效劳器Sobig2002电子邮件大量垃圾邮件MyDoom2004电子邮件大量垃圾邮件，网络堵塞。用户的需求面对混合型威逼，借助网络开展业务的用户关怀哪些平安问题呢？对于企业级用户，有以下四个方面的问题应当考虑：爱惜信息和系统平安。信息化社会中，数据信息及其处理是核心内容，而承载数据信息处理的根底是计算机系统。因此，必需保障数据信息的机密性、完整性、可用性，防止信息被窃取、篡改，防止系统遭受病毒、蠕虫、黑客的攻击。保障网络和系统资源。此时此刻是网络化时代，网络担负着网上业务和网络自动化办公的任务。假如网络遭受攻击，导致堵塞甚至瘫痪，网络业务势必会受到影响。因此，保障网络畅通，幸免遭受蠕虫攻击、垃圾邮件泛滥等网络资源危害事务，是平安保障的另一个目标。节约管理本钱。用户须要网络平安保障。但实际状况是，许多企业级用户既没有配备具有较高平安学问和技能的人员，也没有足够的时间和精力监控和处理平安事务。结果往往是疲于应付、效果不佳。为了变更这种状况，应构建合理的平安限制措施，在不要求太多平安学问、技能的前提下，实现有效的平安防范。改良平安状况。任何平安措施都不能一劳永逸地保障永久的和确定的平安。企业级用户接受平安限制措施后，在加强了平安性的同时，还须要了解照旧存在哪些平安风险，依据风险状况制定改良措施，保证平安限制实力持续不断地改良。平安限制措施防病毒系统计算机病毒是混合型威逼最广泛的表现形式之一。目前，对于计算机病毒最常见的处理措施是防病毒系统。防病毒系统能够发觉病毒，刚好查杀。不管是引导型病毒、内存型病毒、文件型病毒、蠕虫代码、宏病毒、特洛伊木马，还是网页恶意脚本、小程序或AxtiveX代码，防病毒系统都能够进展处理。对于防病毒系统，我们是再熟悉不过了。为了找到一个满意的防病毒软件，许多用户还常常换来换去。但最终发觉，最然好的防病毒软件可以解决许多问题，却没有哪个能够彻底解决全部问题。缘由在于防病毒系统接受发觉后处理的被动防备方法，存在先天缺乏。是否能够处理某种新的病毒，取决于发觉该病毒的速度。另一个特殊重要的缘由是，防病毒系统面对蠕虫攻击，目前还缺乏有效的防备手段。我们会发觉，当蠕虫爆发时，防病毒系统的处理效果有限，即便能够查杀，却照旧会不断受到攻击。缘由很简洁，就是因为系统存在漏洞。只要漏洞存在，威逼始终存在。对于企业级用户，可以接受防病毒系统应对威逼。但为了更好地进展全面防范，须要接受其它措施进展补充。防火墙防火墙应用已经特殊普遍，主要用来对网络访问的合法性进展平安限制，原那么上只允许符合策略的网络连接和数据通过。良好的防火墙平安策略可以有效限制黑客的入侵攻击行为，保障内网平安。但防火墙并不能解决全部平安问题。举例来讲，防火墙所起的作用相当于海关的“身份检查”，考虑到效率因素，目前绝大多数防火墙对于携带“包袱”的网络数据内容并不作检查处理。就是说，防火墙主要在网络层进展处理，在应用层不作过多处理。对于混合型威逼这类主要以内容为主的威逼，防火墙所起的作用是有限的，照旧须要新的手段补充。漏洞扫描造成平安隐患的一个很重要的缘由是因为网络和系统存在漏洞。当漏洞被黑客或蠕虫程序利用时，平安事务便会发生。我们时时运用漏洞扫描分析系统，刚好发觉漏洞，接受措施修复漏洞，。网关过滤技术为了弥补传统防病毒系统和防火墙的缺乏，网关过滤技术便应运而生。网关过滤技术〔或者称作过滤网关〕是近几年提出并起先慢慢流行的平安技术。它依据混合型威逼的特点，接受综合的过滤技术，在网关位置实现平安防护。据ICSA计算机病毒流行性调查结果，电子邮件和互联网已经成为病毒传播的确定主要途径。我们也已经认知这样的事实：计算机网络已经成为病毒、蠕虫、黑客入侵攻击等混合型威逼的主要途径。基于以上相识，为了更加有效地限制混合型威逼，可以从引入威逼的最薄弱环节进展限制，并且对威逼的内容进展有效识别处理。接受网关过滤技术，可以在很大程度上克制被动防备的局面，实现踊跃的主动防备。当接受过滤网关爱惜网络时，可以将蠕虫攻击阻挡在外，幸免受爱惜网络因存在漏洞遭到攻击，为打补丁留下足够的时间；可以在受爱惜网络内部未部署防病毒系统的状况下起到过滤外来病毒的作用。终端平安管理技术有了网络边界平安产品，如：防火墙、平安网关等；还有一些主机平安产品如：病毒防护、主机加固软件等，但是并不能够形成一个全面的平安防护体系。在传统的平安解决方案中，内网终端的整体平安防护和管理时时没有得到足够重视。而网络的迅猛开展、网络设备的流淌性、各种困难网络应用的引入，都会使内网平安呈现漏洞，详细呈现为内网终端的访问限制、内网防病毒软件的管理一样、操作系统及应用软件的补丁管理等。内网的各种漏洞还源于平安策略的制定和详细执行之间的差距。执行者素养的差异，对网络平安管理理解的差异都有可能造成管理上的疏漏。这样即使堆砌了一系列网络平安产品，但假如用户手中的网络平安产品和解决方案都只是针对特定问题的修补而且相互孤立，没有构造一个能彻底解决网络内共有的平安问题的统一的平台，那么用户网络本质上照旧是脆弱的。为了解决上述问题，终端平安管理系统应运而生了。

平安体系设计网络信息平安策略信息平安的目的是要保证信息的完整性、保密性、可用性、可控性、行为的不行否认性。在爱惜信息的同时，还要满意对整个信息系统的爱惜和防备。一个根本的计算机平安模型为了说明一个计算机系统能够保持保密性和完整性，须要一个底层的平安模型。在这个模型的最低层是实体的概念。实体又能够分为两类：主体和目标。当然，这种构造很类似我们的日常语言。其实，我们的下一个概念就是一个动词：访问。主体访问目标。通过这个简洁的句子能够表达出全部计算机平安产品的根底理念。当我们购置一个平安产品的时候，从考虑这些最根本的定义起先。什么是主体？什么是目标？在主体和目标之间能够实施什么样的访问限制策略？我们可能有许多问题要问，但是须要首先问这些问题。在不同状况下，一个同样的实体可能既是一个主体又是一个目标。当一个程序访问一个文件〔目标〕时是一个主体。但是当一个人企图中止这个进程的时候，这个程序就变成了目标，而访问请求是中止，主体是企图中止这个进程的人。我们此时此刻运用目标、主体和访问权限来表示在计算机系统中发生的事情，就是说，这些名词是用来说明我们须要接受的平安策略的。此时此刻我们理解了根本的概念，下一步是它们之间的关系是如何被实施的。“平安参考监视器”〔Anderson提出〕是限制主体试图访问对象〔客体〕时接受的行为的一个黑盒子。参考监视器的目的是为了限制主体访问对象的请求。主体访问对象的唯一路径必需要通过参考监视器。通俗地讲，参考监视器起到了对象的爱惜作用。“平安参考监视器”模型可以由下列图表示：事实上，当我们搞清楚了主体和对象后，我们就能够确定要爱惜的对象，针对不同主体的各种行为接受爱惜措施。IATF深层防备策略IATF〔信息保障技术框架〕定义了一个“深层防备体系”。所谓深层防备就是接受多层次、多样性的平安措施来保障信息及信息系统的平安。在深层防备策略中，人、技术和操作是三个主要核心因素，要保障信息及信息系统的平安，三者不行或缺。从技术上讲，深层防备战略表达为在包括主机、网络、系统边界和支撑性根底设施等多个网络环节之中实现平安限制。深层防备战略的含义是多方面的，它试图全面覆盖一个层次化的、多样性的平安保障框架。深层防备战略的核心目标就是在攻击者成功地破坏了某个爱惜机制的状况下，其它爱惜机制照旧能够供应附加的爱惜。信息平安层次划分为简化对平安的分析，我们也时时将信息平安遵照三个层次划分：主机平安、网络传输平安、网络边界平安。进展网络平安防护时，应在多层次部署平安产品，实现纵深防备。为保障信息平安，须要在三个层次分别接受平安措施。此外，还常常接受支持性根底设施，使三个平安层次的平安保障协调工作。主机平安主机是银行信息处理的根底，可能涉及到大型机、中型机、小型机、效劳器、客户PC等。主机平安的对象主要是操作系统、数据库、文件和设备资源、应用系统。主机平安的目标是：保障主机系统的可用性、数据信息的完整性和保密性、对主机访问的可控性、以及对操作的审计〔不行否认性〕。爱惜主机平安的主要技术手段有：操作系统核心爱惜、身份鉴别技术、计算机病毒防护等。网络传输平安网络的目的是为了实现数据信息传输和共享，供应远程资源访问限制。网络传输面临着黑客、网络蠕虫病毒传播等诸多威逼。网络平安的对象有：网络设备、网络效劳、网上传输的信息。网络平安的目标是：保障网络正常运转、合法的访问限制、网络传输信息不被破坏、篡改、丢失和窃取。爱惜网络传输平安的主要技术手段有：入侵检测、网络分析、防火墙、信息传输加密、VPN虚拟专用网、网络漏洞分析。网络边界平安网络边界平安爱惜关注的是如何对进出网络边界的数据流进展有效的限制和监视，防止非法访问。网络边界平安对象：边界网络设备〔路由器、交换机〕、进出网络的数据信息、网络内部资源。对网络边界实施爱惜的目标是：爱惜内部网络不被外部攻击和破坏、限制内部向外扩散不适合的信息和访问。爱惜网络边界平安的主要技术有：物理隔离技术〔网闸、物理隔离卡等〕、防火墙、入侵检测、网关过滤技术等。平安效劳伴随着网络技术的开展，平安技术也在随之不断开展。但技术并不能解决全部的问题，还须要有人来参和。平安效劳的目标就是要使企业或机关管理者以及执行者清楚地了解自身网络和系统信息存在的各种平安问题，针对面临的平安风险，制定出明确的解决措施并加以实施，躲避平安风险。平安效劳应由具备平安效劳资质的公司和人员实施。主要内容一般包括：平安需求分析、资产等级划分、资产平安风险评估、策略评估和制定、加固方案制定和实施、平安培训、平安事务通知和紧急响应。防治三要素以病毒、蠕虫为代表的混合型威逼，由于其具备破坏性、传染性的特征，和自然界生物病毒的特性极为相像。我们知道，生物病毒防治有三个要素：切断传播途径、发觉传染源、爱惜易感人群。传染源〔威逼〕通过传播途径〔网络、电子邮件等〕影响易感人群〔计算机系统〕。当易感人群受感染后，成为新的传染源，对四周接着产生不良影响。和应对生物病毒的方式一样，应对混合型威逼可以借鉴其防治原那么：切断传播途径网络边界是引入平安风险的主要传播途径。可以在网络边界部署防火墙，对网络访问的合法性进展有效限制；部署过滤网关，对病毒、蠕虫、垃圾邮件等内容进展过滤。KILL防火墙能够适应各种困难环境的网络爱惜；KILL过滤网关在业界拥有众多成功案例，据权威机构分析报告，2004年冠群金辰公司的KILL过滤网关在平安网关市场中的占有率是第一位。KSG除了可以有效地实现电子邮件病毒过滤、内容过滤、垃圾邮件过滤外，更重要的是可以实现蠕虫过滤〔过滤静态蠕虫扩散、阻断蠕虫动态攻击〕。KSG独有的抗蠕虫攻击技术〔Anti-Worm〕能够全方位抵抗全部确定蠕虫病毒的攻击和传播，可以阻断后门程序、DoS/DDoS等动态入侵攻击行为。此外，KSG也支持非透亮〔Router模式，旁路并联〕方式的接入。这种状况下，主要用于对用户自身的邮件系统进展病毒过滤。监控传染源在网络内部，存在来自内部或外部的非法网络流量，系统也存在许多可能被利用的漏洞。可以接受网络入侵检测系统进展攻击检测，接受漏洞扫描进展漏洞分析。在网络环境和主机环境对混合型威逼进展全面识别，识别后进展报警和隔离处理。接受网络入侵检测技术在网络位置监控入侵行为和网络病毒；接受网络防病毒系统在识别受感染目标，进展实时监控处理。冠群金辰软件有限公司的KILL入侵检测系统，利用内建的用于防止破坏的预防功能，监控网络流量，实时检测可疑的网络活动和入侵攻击。它还拥有防止资源滥用实力，比方动态URL限制，凭借自身强大的网络检测、分析、报告和管理实力，快速定位病毒源，为网络平安供应牢靠的保障。KILL入侵检测系统部署在用户网络的主干链路中，通过实时捕获、分析网络中的数据流，实时检测网络流量中的病毒，供应了广泛的监视、入侵和攻击检测、非法URL检测和堵塞报警记录，并同时检查流淌的数据中是否含有病毒，精确定位病毒的传播源，然后通过KILL网络防病毒系统对病毒传播源所在计算机进展清毒工作，为网络平安供应了牢靠的保障。爱惜易感人群这里的“易感人群”主要指各种计算机系统主机。对爱惜对象应接受治疗和防疫相结合的方法。接受防病毒系统、反间谍软件进展查杀“治疗”；接受漏洞扫描系统进展漏洞状况检查；接受终端平安管理系统对网络客户端进展平安爱惜和平安策略集中实施；接受效劳器爱惜系统，加固主机，提升平安性。下面主要介绍冠群金辰公司的KILL终端平安管理系统和KILL网络防病毒系统网络防病毒软件的特点和应用。多层次立体防护依据IATF〔信息保障技术框架〕的纵深防备理论，可以从计算机主机、网络和网络边界分别建立综合防备体系：在网络边界，切断传播途径；在网络范围，监控传染源；对计算机系统，爱惜易感人群。为实现多层次综合爱惜，我们应合理构建平安体系架构，慎重选择平安产品。既要到达有效限制平安风险的目的，又要节约投资。产品功能是否满意须要、性能是否到达要求都是须要考虑的因素。在下面描述的平安限制措施中，我们供应几种实际应用效果不错的产品，供借鉴参考：网络边界限制：可以接受KILL过滤网关(KSG-V、KSG-M)，实现对蠕虫、病毒、垃圾邮件、敏感信息等混合型威逼的综合过滤；接受KILL防火墙，对网络访问的合法性进展全面检查。网络检查：可以接受KILL入侵监测系统，有效识别网络入侵攻击行为、非法网络活动、以及网络流量病毒；接受KILL漏洞扫描器检查发觉系统存在漏洞，依据供应的补救方法弥补漏洞。主机爱惜：可以接受KILL网络防病毒系统网络防病毒系统和KILL终端平安管理系统对主机进展防护，进展网络化管理，防止病毒感染和传播；接受eTrust效劳器爱惜系统，加固操作系统，提升其平安性。图示如下：当然，并不是全部的技术措施都是必需的。用户应当依据自身的实际平安风险状况和资金状况有选择地进展平安防护，既要全面防备，又要突出重点。通过以上方式的踊跃综合防备措施，我们有理由坚信，面对混合型威逼，我们有实力全面爱惜网络信息的平安，为信息化开展真正起到保驾护航的作用。

冠群金辰平安产品说明KILL网络防病毒系统产品概述KILL网络防病毒系统〔简称KILL〕是冠群金辰公司的企业级网络防病毒软件，可全面查杀病毒、蠕虫、木马、间谍软件等恶意代码。KILL通过踊跃防备的爱惜措施和强大的管理特性，能够在恶意代码进入网络前刚好阻挡并删除它们，从而削减系统异样、数据损坏或失窃带来的风险，保障业务连续性。KILL同步支持Windows系统的各个版本(含64位)，全球首款通过西海岸试验室Vista兼容认证，并且连年获得病毒公告牌VB100、西海岸试验室、ICSA试验室等机构检测认证，是国际领先的防病毒产品。冠群金辰的“KILL网络防病毒系统”接受自主学问产权的防病毒引擎，依托美国CA公司强大的技术背景和国内雄厚的研发效劳实力，在十几年的开展中，赢得了广袤用户的普遍信任，其产品在政府、电信、金融、税务等各个领域都有着广泛的成功应用。功能特性防病毒特性综合探测扫描KILL供应高级的探测扫描技术，通过扫描文件、引导区、内存、注册表、常见位置或用户选择位置，将扫描结果和特征库进展匹配，而且还可通过识别可疑活动的“启发式高级分析技术”进展检测和处理。一旦检测到恶意代码、可疑活动或企图躲避检测的病毒变种，立刻进展隔离或去除，并将受感染系统复原到平安状态。检测多种形式恶意代码KILL可以全面检测处理病毒、蠕虫、木马、恶意网页代码〔JavaApplet、ActiveX、Cookie〕、电子邮件、宏病毒、指定扩展名、压缩格式等多种形式的恶意代码。当安装KILL增加版时〔包含PestPatrol防间谍软件〕，还可以全面检测间谍软件。单步阻断病毒KILL供应单步阻断病毒功能，当发觉病毒时，允许立刻隔离异样网络，幸免可能出现的新病毒爆发事务。通过将特定文件扩展名添加到“阻挡扩展名”清单，在检测到潜在病毒的状况下，全部对这些文件的访问将被拒绝。实时监视KILL实时监控系统在后台运行，当运行程序、读/写文件、移动介质访问、Internet访问或下载、网络效劳、电子邮件传递时，实时进展扫描分析。扫描对象可选择：双向监控传入/传出文件、压缩格式文件、特定扩展名文件等。为到达平安高效扫描，还可筛选“解除扫描进程”、“解除扫描书目”、“阻挡〔或免除阻挡〕扫描扩展名列表”。KILL接受特征码匹配、启发式探测扫描等方法，发觉病毒后，供应仅报告、删除文件、重命名、隔离文件〔可后续进展删除、复原工作〕、隔离受感染机器〔指定时间段内不能访问该效劳器〕、删除宏病毒、修复文件、修复引导区、修复注册表和系统文件等响应动作。人工扫描通过人工扫描，可实现对计算机系统和文件书目的完全扫描，清理可能隐藏的病毒。执行人工扫描时，选择可访问的书目或解除某些书目，扫描对象可以是：全部文件、仅扫描指定扩展名、解除扫描指定扩展名、压缩格式文件等。人工扫描的技术和处理策略和“实时扫描”一样。作业调度“作业调度”有时也称作“排定扫描”。“作业调度”首先要定义调度策略，除了设定扫描书目〔位置〕、扫描对象、处理策略外，还包括：排定扫描的时间〔年月日、时分秒〕、重复频率〔月、日、时、分〕、CPU运用级别。其中，CPU利用率和CPU资源的可用性相关。例如，可以对排定在正常工作时间段发生的扫描选择“低”级别，这时的资源大局部被其它最须要资源的任务占用，有害程序扫描活动不应再耗用资源。对于排定在夜晚或周末发生的扫描-这时资源需求一般比拟低，更适宜接受“正常”或“高”CPU运用级别。扫描技术和处理策略和“实时扫描”一样。该选项只适用于Windows环境。邮件效劳器扫描“电子邮件”策略指定KILL爱惜LotusNotes或MicrosoftExchange电子邮件效劳器。这些策略仅适用于Windows平台下的KILLforNotes或KILLforExchange。Notes选件和KILL集成以扫描文档和电子邮件文件附件。可以自动检测到已感染LotusNotes附件。发觉感染时，此选项还通过主机消息传送系统通知用户。Exchange选件和KILL集成以扫描附加到电子邮件消息和文件夹的文档。运用此选件，可以自动修复已感染的MicrosoftExchange附件。Exchange选件扫描全部通过该效劳器的邮件。内容自动更新KILL限制台使您可以自动下载产品更新和特征码文件的内容更新。收集这些更新的下载方法是，下载策略包括：更新效劳器列表—按依次查找可达的升级效劳器进展下载；更新频率—更新时间”、“更新频率”、“立刻下载”；更新内容—须要更新的组件、重新分发组件等。KILL自动实时更新引擎和特征码文件、程序模块、补丁程序，供应最新平安爱惜。更新过程只传输MicroDAT文件的增量局部〔少于100KB〕，可实现快速升级和分发，占用微小的网络带宽。当用户内部升级效劳器短暂失效时，客户端自动查找下一个预先制定的效劳器进展升级。防间谍软件特性提示：本节仅适用于“KILL网络防病毒系统-增加版”功能〔特指PestPatrol防间谍软件〕。全面预防间谍软件和病毒不同的是，间谍软件〔例如后门黑客工具、厌烦的广告软件等〕可能导致更多平安问题。间谍软件制造者的目的特殊明确，就是通过网络隐藏地窃取有价值信息和敏感信息。当安装KILL增加版时，通过扫描文件、内存、注册表、常见位置或用户选择书目，可以全面检测和去除隐藏的间谍软件，预防有价数据和敏感信息失窃，幸免系统和网络访问速度变慢。这些间谍软件包括后门黑客工具、击键记录器、代理、下载器、广告软件、阅读器劫持等。PestPatrol拥有业界最全面的间谍软件库，具有国际领先水平。实时扫描、人工扫描、调度扫描PestPatrol防间谍软件主动监视系统活动，在间谍软件运行前截获并去除，爱惜您的信息平安。系统除了可以自动实时进展监视外，您还可以通过人工扫描和调度时间扫描的方式进展完全扫描。三种扫描方式和前述“KILL防病毒特性”的对应内容一样。和KILL共享的集中管理PestPatrol通过基于Web的中心限制台进展管理，管理员可以强制扫描、更新策略、阅读日志和查看报告。PestPatrol可和KILL共享同一个管理限制台和升级效劳器，具有共同的系统兼容性、管理功能和日志和报表功能，可以实现高效的集中管理。内容自动更新KILL限制台使您可以自动下载PestPatrol防间谍软件产品更新和特征码文件的内容更新。更新方式和KILL防病毒软件完全一样。管理特性易于安装部署KILL限制台允许您从一个中心位置远程管理网络中运行KILL代理的计算机，KILL管理中心可以自动识别网络内的系统列表以及是否安装了KILL防病毒软件，以此识别潜在的风险。KILL支持本地安装、登录脚本安装、远程工具推送安装、无人值守安装、软件分发安装等方式，便于大规模部署实施，大幅提高工作效率。>>本地安装：在客户端逐个进展本地光盘〔或文件〕安装，适合小规模部署。>>登录脚本安装：运用登录脚本将客户端指向供应安装软件包的效劳器，然后从该效劳器运行软件包。>>远程安装：管理员通过“KILL远程安装管用工具”实现远程推送安装。>>无人值守安装：管理员通过配置安装文件，在不需用户交互操作的状况下安装KILL。>>软件分发：安装时可通过CAUnicenter®SoftwareDelivery和微软SMS进展分发。支持多层管理模式依据客户端数量和网络状况，您可以选择适合于局域网的客户端/限制台的二级管理模式，也可以构建适合于跨地区、跨国界的多级分布式管理模式。KILL网络防病毒系统可在随意位置安装“重分发效劳器”，以此实现程序模块和特征库内容的逐级分发；可随意指定“策略代理效劳器”，以此实现策略的逐级分发。例如，从总部到分支机构、再到子分支机构的逐级分发管理。这种分层管理方式降低了网络流量，提高了网络管理效率。集中Web管理通过基于Web方式的限制台，您可以部署和升级每个节点软件、强制扫描和更新平安策略、查看日志和报告。KILL既可独立安装部署，也可以和Pestpatrol防间谍软件共享同一个限制台和代理软件，实现无缝集成的统一管理。通过基于web的界面，您可从随意计算机或在安装KILL效劳器的计算机上翻开限制台。策略锁定KILL的策略类型包括：实时扫描策略、作业调度策略、特征码分发策略、病毒样本提交策略、电子邮件处理策略等，管理员可以定义各种策略微小环节。当管理员锁定策略时，可以制止任何客户端修改组织的策略，保证全网防病毒策略一样性。此外，策略可以集中分发，也可通过多个策略代理效劳器实现层次化分发，保障策略分发效率。自动发觉子网KILL限制台具备自动发觉子网内全部客户端计算机的实力，可发觉计算机的根本信息、是否安装了KILL客户端代理、所安装KILL代理的版本状况等，便于管理员进展管理。“发觉”的方法可选择：>>自由选择：播送方式发觉最小IP地址，由该计算机收集子网客户端信息并向效劳器报告；>>指定选择：指定IP地址，由该计算机收集子网客户端信息并向效劳器报告；>>偏好选择：指定IP向效劳器报告，当该IP计算机不接收轮询时，接受自由选择方式；>>逐个轮询：效劳器逐个轮询全部客户端计算机。“组织树”管理构造“组织”树是对您的网络的分层表示。运用该树可向须要一样防护设置的计算机组应用策略。运用“组织”选项卡，可以创立具有容器〔称为分支〕的“组织”树。这些分支通常组织为可以镜像网络中计算机的物理位置。树的组织构造特殊灵敏，通常按部门、职能、用户类型或适合业务须要的任何其他支配元素将计算机分类。创立“组织”树后，可以创立策略并将策略支配给树和其分支。假如一个策略放置在树顶，那么全部计算机可继承该策略。当策略放置在树的各个分支时，仅该分支内的计算机可继承这些策略。电告总部“电告总部”功能使客户端计算机向指定的KILL效劳器报告信息，它供应了反向发觉或“自我介绍”功能。这种方法使您可以管理到那些不能“正常”发觉的计算机〔例如，远程计算机、运用VPN的计算机等〕。在客户端代理程序和限制台之间的通讯是由代理主动启动的，这样，“代理”就可以通过“电告总部”的方式主动报告自己的状态，并且可以刚好获得平安策略和配置的变更。报警通知当您的环境中检测到新的威逼事务时，会自动发送报警通知。该事务可选择“本地报警管理器”、“事务日志”、“转发到其它计算机”。“报警管理器”是一种集中式管理组件，将运行KILL产品的客户端计算机和效劳器所生成的报警发送到其它目标。例如，可以将报警发送到管理员电子邮箱、NT事务日志、SNMP陷阱、CAAudit、CASecurityCommandCenter、CAUnicenter。这使您可以对报警快速做出响应。日志和统计报告KILL完整记录病毒扫描日志，内容包括：时间、文件名、状态、感染名称、感染类型、感染对象、检测方法、引擎、用户等。KILL管理限制台还供应近百种不同类型的分析报告，各种报告可“开箱即用”，以易于阅读的图文格式显示威逼信息。报告形式包括：>>客户端计算机信息〔计算机名、IP、MAC、产品版本等〕>>安装部署KILL的状况〔已安装、未安装、安装状况〕>>排定作业报告、管理的计算机报告、特征码状况报告、效劳器负载报告、策略负载报告>>分类统计报告：按病毒、按间谍软件、按计算机、按用户、邮件选件报告>>Top10：前10种病毒分类报告、前10种间谍软件分类报告兼容性和适应性支持广泛的系统平台KILL同步支持微软不同的Windows版本，此外，KILL还支持64位Windows〔Intel、AMD〕、MicrosoftExchange、LotusNotes等。KILL防病毒软件是全球收款通过WestCoast认证的兼容Vista的防病毒产品，支持MicrosoftVista。支持思科NAC和微软NAPKILL支持思科的NAC〔网络准入限制〕和微软的NAP〔网络访问爱惜〕，能够精确发觉应用于思科NAC或微软NAP网络中的KILL产品，可满意用户运用思科或微软产品的准入许可策略。性能保障最小资源占用基于和微软公司源代码级的合作关系，KILL防病毒软件合理调度Windows系统资源，将病毒查杀过程对CPU和内存资源的消耗降到最低，有效保证工作效率。良好的性能KILL效劳器可支持大约20个并发管理用户，单个KILL效劳器可管理大约10万个客户端。自平安性自我平安爱惜KILL接受授权管理方式，保证策略不会被其他用户随意修改，管理用户可拥有对策略的完全或局部访问权限。特征码升级具有容错、校验功能，在网络传输不稳定状况下，假如发觉升级过程有误，可自动重新下载升级文件，无需用户干预。平安通讯KILL运用MicrosoftWindows支持的IPSec标准爱惜KILL效劳器和KILL代理客户端之间的通讯，实现加密形式的平安通讯。资质和认证KILL连续多年获得了VirusBulletin〔病毒公告牌〕“VB100%”奖项，还获得了WestCoastLabs〔西海岸试验室〕Checkmark〔Anti-VirusLevel1、Anti-VirusLevel2、Trojan〕认证、以及ICSALabs〔国际计算机平安协会试验室〕100%检测和去除““in-the-wild”病毒认证。PestPatrol防间谍软件还获得了WestCoastLabs〔西海岸试验室〕CheckmarkAnti-Spyware检测实力认证。系统组成及运行环境产品分类及组件选件组件部署位置作用【根底型】：KILL防病毒软件Windows选件KILL代理Windows客户端检测处理病毒KILL效劳器管理限制台管理重新分发效劳器随意位置〔支持多级分布式构造〕特征库、软件模块更新远程安装管用工具管理限制台远程安装Exchange选件Exchange插件MS-Exchange邮件效劳器邮件效劳器防病毒LotusNotes选件Notes插件LotusNotes/Domino效劳器邮件效劳器防病毒【增加型】：KILL防病毒软件+PestPatrol防间谍软件Windows选件KILL代理Windows客户端检测处理病毒PestPatrol代理Windows客户端检测处理间谍软件KILL效劳器管理限制台管理重新分发效劳器随意位置〔支持多级分布式构造〕特征库、软件模块更新远程安装管用工具管理限制台远程安装系统要求KILL客户端计算机Pentium150MHz以上；64MB硬盘空间；512MB内存WindowsNT4.0,SP6A+Windows2000WindowsServer2003(32位;64位-Intel/AMD)WindowsXPProfessional(32位;64位-Intel/AMD)WindowsVista (32位)KILL管理效劳器Pentium4,2.6GHz以上；10GB硬盘空间；1GB内存WindowsNT4.0,SP6A以上Windows2000ServerWindows2003ServerWindowsXPProfessional(不引荐)Windows2000Workstation(不引荐)WindowsVista群件系统MicrosoftExchange2000/2003LotusNotes/Domino以上注：⑴因WindowsXP和Windows2000Workstation不能超过10个并发连接的限制，不建议接受这两种平台作效劳器；⑵对大型组织的效劳器没有硬性要求，一个基准是：每30000个客户端须要约2GB内存和40GB磁盘空间；用户规模考虑规模定性客户端数量配置建议小规模≤500>>多数状况下，小组织位于一个地方，网络带宽为100M>>应有一台专用效劳器充当KILL效劳器>>至少还有另外一台效劳器充当KILL策略代理效劳器和内容重分发效劳器>>报警管理器应在KILL效劳器上中规模500～5000>>可能有一个地点或多个地点，一些组织甚至超出国界>>建议运用一个KILL效劳器>>其它策略代理效劳器和重新分发效劳器分布在各个地区本地，以在一个集中的位置维护数据，这可确对组织中的数据有更好的整体视图和管理大规模≥5000>>全国性公司或跨国公司，企业内有各种事业部，它们都有自己的广域网(WAN)>>建议确定将网络中心或中间位置作为执行区域性分发策略和更新的节点>>可以将一个或多个效劳器确定为重新分发的点，用于本地或靠近网络中心位置的客户端，而不是和中心数据中心通讯，以确保网络通讯效率典型部署局域网部署Windows应用环境Windows是防病毒系统应用最为广泛的场景，此种环境下，部署KILL防病毒系统特殊简洁。首先，准备一台特地的PC或效劳器安装“KILL效劳器”〔包括KILL效劳器、重分发效劳器，假如准备执行远程安装，还须要安装“远程安装管用工具”〕；然后，在全部Windows客户端分别安装“KILL代理”。通过适当配置后即可投入工作。Windows环境下对KILL的安装部署图示如下：群件系统〔Exchange/Notes〕应用环境KILL防病毒系统还支持MS-Exchange或LotusNotes/Domino系统，此种环境下，安装相应的KILL插件后即可对邮件效劳器进展实时的病毒查杀。MSExchange环境下对KILL的安装部署图示如下〔同样适用于LotusNotes/Domino系统〕：远程分布式部署对于大型分级部署，需设立多个KILL效劳器，并且应安装一个或多个重新分发效劳器。重新分发效劳器可从冠群金辰公司内容更新效劳器上查找更新，并将它们供应应其它客户端计算机。在分层实施中，一个或少量重新分发效劳器干脆从冠群金辰公司下载更新。这些顶级重新分发效劳器为更多的重新分发效劳器供应更新。可重复此分层体系构造，直到有足够的重新分发效劳器向全部客户端计算机供应更新，将对网络资源的影响降到最低。KILL过滤网关-防毒墙产品综述KILL过滤网关-防毒墙〔KSG-V〕是专为企业级用户设计的网关级病毒过滤设备，可全面高效防范计算机病毒传播、阻断蠕虫攻击、限制网络非法流量。KSG-V接受全透亮方式，适用于各种困难的网络环境，通过多层过滤〔网络层、传输层、应用层〕、深度内容分析、智能关联等技术策略，对网络数据进展高效过滤处理，可有效提升网络环境的平安状况。依据用户的不同须要，KSG-V可实现内网爱惜、关键网段爱惜、网络隔离等。KILL过滤网关-防毒墙〔KSG-V〕综合接受数据包构造分析、网络行为分析、特征识别、模式匹配、流量限制和自动抑制、协议分析、深度内容分析、专业防病毒识别、蠕虫阻断、入侵防备、全透亮桥接等技术，实现对网络危害数据的精确过滤。KILL过滤网关-防毒墙〔KSG-V〕定位于网络病毒过滤网关，供应全面的网络病毒防备。KSG-V产品面对企业级用户，包括政府、金融、电信、教化、企业等网络用户。依据对网络数据内容的处理实力，KSG-V产品型号划分为：100型、500型、3000型、5000型，可满意不同规模的用户须要。产品特点透亮模式，即插即用。KSG-V接受全透亮方式，可接入到各种困难的网络环境中。用户不需修改原有网络构造和配置，接入KSG-V后可以快速投入运用。专注于网络病毒过滤。KSG-V针对网络转播病毒进展全面高效的专项过滤，精确识别邮件病毒、文件传输病毒、网页病毒等，防止病毒通过最常见的传播途径进入受爱惜网络。强大的蠕虫过滤实力。KSG-V接受特地的蠕虫库进展识别，同时还接受入侵防备〔IPS〕技术、IP/端口/数据包封锁技术，优化了蠕虫识别机制，不仅可过滤确定蠕虫，还可以在未知蠕虫爆发时进展拦截。网络数据高效过滤。KSG-V接受高性能处理设备，通过多层关联分析、优化算法、综合手段进展处理，具有更高的网络数据过滤效率。保障自身平安工作。KSG-V通过多种措施保障自身平安工作：通过专有平安操作系统幸免漏洞攻击；通过自动抑制网络流量，防止DoS攻击造成拒绝效劳和性能下降；通过加密和认证的平安管理防止管理失控。自有防病毒核心技术，保障持续支持。接受冠群金辰公司KILL防病毒引擎，全面过滤各种形式的网络病毒。自主产权的防病毒核心技术，使将来产品升级和用户效劳能够得到持续保障。主要功能蠕虫过滤蠕虫可以利用电子邮件、文件传输等方式进展扩散，更主要的特点是利用系统的漏洞发起动态攻击。近几年蠕虫造成的危害越来越大，可以导致系统紧要损坏和网络瘫痪。如尼姆达〔Nimda〕、红色代码〔CodeRed〕、蠕虫王〔Slammer〕、冲击波〔Blaster〕、震荡波等。依据蠕虫的特点，KSG-V从OSI的多个层次进展处理。在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议〔SMTP、、POP3、FTP等〕传输的静态蠕虫代码。KSG-V所独有的抗蠕虫攻击技术〔Anti-Worm〕处于国际领先地位，能够全方位抵抗全部确定蠕虫病毒的攻击，弥补了国内同类产品空白。这一技术标记着，KSG-V不仅可以过滤静态蠕虫代码，而且能够阻断蠕虫的动态攻击〔包括所引发的病毒传播、后门漏洞、DoS/DDoS攻击等〕。这样，可以实现全面防备蠕虫的目的。病毒过滤这里的病毒过滤是指平凡病毒〔例如CIH〕、邮件病毒〔例如求职信、美丽杀手、爱虫、Mydoom〕、特洛伊木马、网页恶意代码的过滤等。对于网页阅读〔协议〕、文件传输〔FTP协议〕、邮件传输〔SMTP、POP3协议〕等病毒，基于特地的病毒引擎进展查杀。对邮件病毒，可以定义对病毒的处理方式，确定去除病毒、删除附件、丢弃等操作，发觉病毒时通知管理员、收件人、发件人等操作。KSG-V具有卓越的病毒查杀实力，能够对多种应用协议〔SMTP、、POP3、FTP等〕所传递的数据进展病毒过滤，其反病毒引擎获得了ICSA〔国际计算机平安协会〕试验室的查杀病毒认证，能够100%地检测出目前“流行病毒名单”上的病毒。该反病毒引擎还凭借其卓越的病毒查杀功能荣获“VirusBulletin”〔病毒公告牌〕授予的“VB100%”奖，这是自1998年设立该奖项以来，该引擎第46次获得此殊荣。网络连接合法性限制KSG-V基于防火墙技术实现网络访问限制，可基于源/目的IP地址、源/目的端口、协议对网络数据包进展过滤限制，防止非法的网络访问活动。KSG-V还可实现对网络带宽的爱惜。用户可依据实际网络带宽配置定义过滤处理的并发数以及占用带宽的限制，以此调整和优化网络性能。限制方式有：并发限制、连率限制、频率限制、IP/端口限制等。发生邮件风暴或大量的网络并发链接时，KSG-V会检测系统资源的消耗状况。借助对协议的深度分析，诸如SYNFlooding这样类型的效劳拒绝攻击，在到达系统设置的阀值后，KSG-V将拒绝再接收，从而幸免出现资源运用极限而造成网络中断。这一技术可过滤绝大多数的效劳拒绝攻击。平安管理方式对KSG-V的管理支持s加密通讯的Web管理方式，界面直观、操作简便、抑郁理解。此外还支持console方式的本地管理，以及ssh加密方式的远程维护管理。为幸免对KSG-V设备的管理权限滥用，增加平安性，可设定允许访问KSG-V设备的IP地址范围。管理员依据权限进展划分，管理用户按性质可划分为：系统维护员〔超级用户〕、配置管理员、策略审计员、日志审计员等。特征库自动升级KSG-V通过不断更新过滤特征码来保持和攻击数据特征的同步，包括蠕虫特征码、病毒特征码和入侵特征码。依据更新策略，用户可通过或FTP方式从冠群金辰公司效劳器自动更新特征码。部署方式内网统一爱惜对于集中防备外部网络病毒威逼的用户，可通过透亮方式干脆将KSG-V设备部署于网络边界〔防火墙后〕，实现对进出网络的数据进展病毒全面过滤。这里所指的“病毒”是广义上的概念，包括平凡病毒、邮件病毒、蠕虫、恶意网页代码等。图示如下：网络隔离爱惜一个规划良好的企业级用户网络，往往会划分为多个子网，例如：业务网络、办公网络、DMZ区等。由于办公网络有可能通过多种途径〔网络访问、移动介质--U盘/光盘/软盘、移动的笔记本电脑等〕引入平安威逼，为幸免这些难以限制的威逼扩散到业务网络，须要在之间进展数据隔离检查。这种状况下，可以将KSG-V设备部署于须要隔离的网络之间，防止病毒等危害数据扩散。这也正符合Cell-Based〔基于单元〕平安限制理论。图示如下：产品的保障国际技术、本地化开发KILLShieldGateway接受国际最先进的网关过滤技术，本地化开发。能够供应本地化的技术支持和面对用户特定需求的特地定制开发。平安限制技术和策略完全符合国家信息平安的政策。运行平台KILLShieldGateway运行于独立的硬件平台，接受专有的平安操作系统。平安目标的保证通过KILLShieldGateway的网关级过滤限制，可以使正确的信息不加处理地完整通过、携带病毒的内容过滤复原，将危害事务阻挡在外，保障被爱惜网络和内部主机的平安。KILLShieldGateway可以通过限制木马活动和过滤关键字、文件类型等方式进展限制，幸免内部主机被黑客限制，防止信息泄露。平安管理方式KILLShieldGateway供应S、SSH等方式的平安管理。S不同于，配置页面传递过程经过加密，不会泄漏配置信息〔如密码〕；SSH远程管理方式，比TELNET方式平安，配置页面传递过程加密。完整的日志、丰富的报表KILLShieldGateway可供应详尽、完整的过滤日志报告，还可供应依据这些数据生成图形化统计报表并支持数据挖掘，形象直观，帮助管理员查看，调整相应的过滤策略。高效的处理实力KILLShieldGateway构建在高性能的硬件平台上，接受高效过滤算法，具有特殊高的处理实力。这些特点保证了产品高带宽网络环境下的处理实力。KILLShieldGateway不同型号的产品可分别支持百兆和千兆网络环境。特征码升级平安是动态的，KILLShieldGateway通过不断地更新过滤特征码来保持和攻击数据特征的同步，包括蠕虫特征码、病毒特征码和入侵特征码。依据管理员定义的更新频率和策略，通过或FTP协议自动更新特征码，确保始终运用最新的特征码进展检查，以免受各种新病毒、蠕虫的侵害。产品认证KILLShieldGateway获得了公安部和中国信息平安产品测评认证中心的认证，处于国内同类产品领先水平。此外，在屡次国内主要IT媒体的技术评比中，KILLShieldGateway以其独到的技术和全面的功能屡获大奖。

KILL邮件平安网关产品综述KSG-M是一款独立工作的硬件产品，针对电子邮件系统的SMTP、POP3、WebMail进展过滤，和用户接受的详细邮件系统无关。KSG-M接受专业的防病毒引擎对标准smtp、pop3、webmail协议传递的邮件病毒进展全面过滤处理，保障邮件平安传递。对垃圾邮件接受内置的反垃圾邮件引擎，通过垃圾邮件行为分析、特征分析、自定义等多种方式进展综合关联识别处理。此外，KSG-M不仅仅过滤邮件病毒和垃圾邮件，而且从行为、特征和内容等方面全面分析邮件传递可能引发的平安威逼因素，实现对邮件威逼的综合过滤。由于接受经过定制的专有操作系统、高效过滤算法和高性能效劳器，KSG-M可实现对邮件的高效过滤。体系构造KSG-M核心局部包括三个子系统：过滤引擎、传递引擎、管理系统。KSG-M综合多种邮件平安技术进展关联分析处理，全面过滤非法邮件。过滤引擎过滤引擎通过流量预处理、邮件行为分析、深度内容分析的过程，综合多种邮件平安技术进展关联分析处理，遵照邮件特征和定义规那么进展全面过滤。〔1〕流量预处理。在邮件“落地”前首先对收到的数据流进展预处理，这样可以高效过滤掉大局部非正常的电子邮件相关网络流量。流量预处理包括如下模块：身份认证〔SMTP认证、邮件地址绑定、DNS反查〕、流量整形〔自动抑制〕、高级黑白名单〔黑白名单、RBL〕、邮件攻击防范…〔2〕邮件行为分析。依据邮件构造、特征、行为进展识别，并可通过规那么定义的方式对非法邮件进展过滤。行为分析如下模块：邮件构造检查〔MIME编码格式检查、RFC-821信封标准检查〕、内容频度分析〔邮件频率、邮件速率、邮件并发〕、邮件头特征分析〔邮件跳数、邮件嵌套、群发邮件〕、附件特征分析〔附件类型、数量、大小〕…〔3〕深度内容分析。对电子邮件的信头、正文、附件等进展多层深化分析，最大限度判别垃圾邮件、阻断病毒和恶意行为，并且依据管理策略进展策略监管工作。深度内容分析如下模块：病毒特征识别、垃圾邮件规那么过滤、智能分析〔指纹识别、贝叶斯智能识别、欺诈邮件识别、制止Openrelay〕、…传递引擎传递引擎遵照预定义的规那么进展处理，可灵敏实现正常传递、修改传递、拒绝传递。〔1〕正常传递：标记〔在邮件标题处添加标记发给收件用户〕、复制〔复制到另一个邮箱〕、承受〔干脆传递该邮件〕、声明〔在尾部添加统一的声明文字，接着传递〕。〔2〕修改传递：去除〔去除病毒后正常传递〕、剥离〔删除附件后正常传递〕。〔3〕拒绝传递：丢弃〔拒绝传递邮件并丢弃〕、隔离〔将邮件进展隔离，用户可登录到隔离区查看并确定如何接收或删除〕。管理系统管理员通过Web界面进展管理，用于系统配置、规那么定义、系统和引擎特征码升级、监视异样状态等。管理员还可通过日志报表分析系统驾驭分类和综合的统计分析报告数据，为改良平安状况供应依据。系统组成KILL邮件平安网关，简称KSG-M。KSG-M系统由三局部组成：KSG-M硬件设备〔核心部件〕、管理限制台、日志报表分析系统。逻辑构造如下列图所示：KSG-M用于过滤电子邮件数据；管理限制台用于管理员日常配置管理；日志报表分析系统供应分类和综合的统计分析报告。主要功能过滤邮件病毒全面过滤外来电子邮件病毒的入侵破坏，保障内部网络环境平安；防止内部邮件病毒向外或在内部扩散，保证发送邮件的平安性和信誉。防备垃圾邮件可全面、智能、高效识别和拦截各种垃圾邮件，防止内部邮件系统和网络带宽被大量占用从而保障资源合理应用，幸免个人邮箱被侵占空间从而保障正常邮件接收，预防收件人通过不明邮件上当受骗或引入平安隐患，节约员工处理垃圾邮件时间从而保证工作效率。抵抗邮件攻击和欺诈全面扩展反垃圾邮件技术，可依据邮件行为特征，抵抗DHA攻击、DoS攻击、邮件假冒〔spoofing〕、网络钓鱼〔phishing〕等，对各种邮件威逼行为进展综合防范，保障邮件系统平安牢靠工作。违规行为监管可防范政治敏感信息、违规信息转播扩散，并可对重点邮件账户进展关键字过滤和内容监管。灵敏多样的邮件处理策略当发觉邮件病毒或垃圾邮件时，供应多种灵敏的邮件处理策略，包括：接收、标记、复制、添加声明、去除病毒、剥离附件、丢弃、隔离等。功能强大的独立报表分析系统供应丰富的病毒邮件、垃圾邮件综合统计分析报告，支持多网关报表数据合并，可保存非法信息传递记录。报表分析系统独立工作，可保障KILL邮件平安网关处理效率。自动更新依据预定义的更新频率和策略，可通过Internet自动更新病毒特征码、垃圾邮件规那么库。可实现系统内核的在线升级。部署方式对于企业级用户，KSG-M的干脆爱惜对象是邮件效劳器，间接爱惜目标包括邮件用户、网络资源、内部网络环境等。产品部署可支持路由方式和透亮方式，用户可依据须要灵敏选择。路由方式〔并联〕接受旁路方式部署时，首先设置DNS效劳器中MX〔收件〕记录，作为完整MTA〔邮件传递单元〕功能的KSG-M，其MX优先级应高于邮件效劳器。接收邮件时，KSG-M首先获得邮件进展识别处理，过滤垃圾邮件、病毒邮件、欺诈邮件等非法邮件，然后转发给邮件效劳器进展正常传递。发送邮件时，通过DNS中设置Relay〔发件〕指向，首先通过KSG-M的过滤处理，然后将合法邮件通过邮件效劳器进展正常发送。部署方式建议接受旁路并联〔路由〕方式。如下列图所示：透亮方式〔串联〕对于不具备DNS效劳器的用户，可接受简洁串联方式，不仅可以过滤smtp、pop3邮件，还可以过滤WebMail邮件。接受串联方式时，对途经KSG-M的全部邮件进展分析过滤。如下列图所示：KILL终端平安管理系统产品综述KILL终端平安管理系统〔KILLSecurityManagementSystem，简称KSMS〕是为了应对终端面临的众多平安威逼而设计的一种平安管理产品。KSMS供应了对终端生命周期管理〔ELM〕策略的全面技术支撑，涵盖了资产管理、终端爱惜、行为监管、审计分析等功能。KSMS以计算机终端为核心，通过完整、灵敏、适应用户需求的措施，供应终端平安解决方案。KSMS面对企业级用户，它部署在网络中每一台计算机终端，实现对终端的全面爱惜，并且强调对网络终端的统一限制管理。KSMS象一个时刻保卫在用户身边的平安管理员，供应有效的平安爱惜，确保计算机平安运用和企业级的统一管理。终端生命周期管理概念终端生命周期〔EndpointLifecycle〕是指：当计算机终端参与组织机构后，就起先了其生命周期，直到其业务使命终止。终端对信息的存储、处理、传输过程代表了其生命活动。由于业务须要，这台终端可能会接入不同的网络环境中，包括独立运行。终端生命周期管理〔EndpointLifecycleManagement,简称ELM〕是在计算机终端的全生命周期中，将计算机终端的平安、管理和维护工作同其业务目标相结合，并保障计算机终端持续有效运行的一种策略，直到完毕其业务使命为止。终端生命周期管理模型在终端平安管理的整个生命周期中，从一起先的资产管理，到终端爱惜、行为监管、审计分析，涵盖四个步骤。整个过程构成一个完整的闭环，循环往复。而全部的平安管理过程都围围着业务目标进展。终端生命周期管理〔ELM〕模型图示描述如下：终端生命周期过程要素终端业务。在IT技术慢慢成为业务重要支撑的背景下，IT治理成为了信息化建立领域的探究热点之一。IT治理的使命是，合理利用IT资源，限制IT风险，保持IT业务开展和目标一样。计算机终端作为IT系统的根底组成局部，其使命是完成用户的业务目标。每一台终端都具有其详细的使命，也就是说业务目标分解后形成每台终端的业务目的。资产管理。软件和硬件是计算机终端运行的根底。软件和硬件的失效或意外变更可能会影响终端的正常运行和平安。所以，须要对软硬件资产进展统计管理，并且跟踪其变更状况。计算机终端用户作为一种特殊资产，同样须要进展有效管理。终端爱惜。计算机终端在运行中最常遇到的就是蠕虫、病毒、木马、入侵等平安威逼。为了保障终端系统以及其中信息的机密性、完整性和可用性，须要整合多种平安防范技术对终端实施全面的平安爱惜。行为监管。终端的详细业务目的确定其行为模式。由于每一台终端的详细业务目的和作用不同，其行为模式以及运行的应用等也都不尽一样。一些业务不须要的操作行为、应用程序等须要被制止，并且须要有相关的监控措施。审计分析。良好的审计分析机制是确保策略得到有效执行的保障手段。在终端的运用、管理、爱惜以及监管的过程中，须要有一套行之有效的审计措施，并且由特地人员进展日志的分析整理，发觉违反策略的行为、或者策略须要改良的地方。体系构造KILL终端平安管理系统〔KSMS〕由四局部组成：策略效劳器〔KSMSPolicyServer，KPS〕、管理限制台〔KSMSManagementConsole，KMC〕、平安客户端〔KSMSSecurityAgent，KSA〕以及日志效劳〔KSMSLogService，KLS〕。系统组成局部策略效劳器〔KPS〕KPS是一套自动安装的软件包，以独占方式干脆安装于独立的PC效劳器，负责整个系统的认证授权、策略管理和日志管理的后台支持。KPS负责存储和发布平安管理策略，并刚好收集整个系统的平安信息。KPS支持分布式多级部署，能够适用于大规模网络环境的应用。管理限制台〔KMC〕KSMS管理限制台实现系统的集中管理限制。KMC安装于Windows系统平台，用于供应对整个系统的配置管理。KMC负责系统管理、策略设置及应用、用户管理、日志报表分析等。平安客户端〔KSA〕KSMS平安客户端承受限制台的管理，执行平安策略。KSA安装部署于全部被爱惜和管理的终端计算机系统，负责爱惜终端系统平安，收集中断的平安信息和日志，执行定制的平安策略。日志效劳〔KLS〕KSMS日志效劳收集记录系统所产生的各种日志信息〔例如：管理日志、系统日志、告警日志等〕，以便进展事后审计。通过报表统计分析功能，可为管理人员供应可视化的水晶格式分析报告。通常状况下，管理限制台〔KMC〕和日志效劳〔KLS〕部署在同一台机器上，但也可以分别安装部署于不同的机器上进展管理和审计。工作机制KSMS支持局域网内典型的二级部署体系构造，也支持跨广域网的分布式多级部署方式，具有良好的扩展性。以策略为中心KSMS的全部平安管理都是通过策略的定制和分发来实现的，系统支持集中统一管理和分布式部署方式，满意各种应用环境须要。平安策略存储于策略效劳器〔KPS〕，通过管理限制台〔KMC〕进展定义、配置和管理。平安策略可以分组分类，不同的策略组所起的限制作用和运用范围也不同。管理员可按组织机构、部门将平安策略分发到不同类型的平安客户端〔KSA〕，强制计算机终端用户承受平安爱惜和管理。平安策略分为“在线策略”和“离线策略”两类。一般状况下，用户终端工作在网络连通环境，承受“在线策略”的限制；对于不联网的终端设备以及移动办公的笔记本电脑，承受脱机状况下的“离线策略”爱惜和限制。终端多重爱惜系统爱惜覆盖了“系统内核-系统设备-应用程序”三个层面，供应了全方位的爱惜。在系统内核层面，可自动、透亮地帮助用户加固操作系统、降低IT资源风险。终端用户无需具备专业平安学问便可将自己的计算机终端加固到专家级程度，从而将精力关注于核心业务。在系统设备层面，严格限定用户对硬件设备〔例如：磁盘驱动器、CD-ROM、USB设备、打印机、网卡等〕的运用权限和网络传输限制，保证该主机遭受攻击或发起对外攻击的可能性都极大降低，同时也防止数据信息泄露。在应用程序层面，严格限定用户在指定电脑上的合法行为和制止行为，保证了用户只能在合法范围内正常运用电脑，幸免了用户对资源的滥用，也幸免了由此造成的维护本钱提升。系统通过特有的的平安算法，关联分析网络和终端环境、用户身份、操作行为、平安策略以及历史数据，通过决策引擎综合分析判定平安事务，进展精确的报警。适于最普遍的网络环境：KSMS系统典型应用方式适用于企业级用户局域网络，接受二级体系构造进展部署。例如：接受1个策略效劳器〔KPS〕、1个管理限制台〔KMC〕及日志效劳〔KLS〕，全部被爱惜和管理的桌面计算机安装平安客户端软件〔KSA〕承受爱惜和管理。管理员通过管理限制台〔KMC〕定制平安策略，将策略数据存储于策略效劳器〔KPS〕；策略分发到平安客户端〔KSA〕后，强制终端计算机遵照规定承受平安爱惜和管理。平安客户端进展日常工作时，必需事先登录到策略效劳器进展身份验证，确保只有合法的用户才能正常运用内部网络进展办公和业务处理。管理限制台收集终端数据和策略效劳器工作状态，进展平安监控和审计。典型限制流程如下列图所示：支持多级分布式管理方式：当用户终端网络范围跨网络分级管理时，可接受分布式多级体系构造进展部署和管理，实现对多级机构的本地和远程的分级管理。例如，对于一个全国性的跨地区分级机构，总部部署一级策略效劳器，二级分支机构分别部署二级策略效劳器，三级分支机构分别部署三级策略效劳器，以此类推。多级效劳器之间的策略可以通过同步方式实现，日志信息可以汇总管理。多级分布式管理构造如下列图所示：产品特点平安保障和科学管理相结合KSMS终端平安管理贯穿终端应用的整个生命周期，涵盖资产管理、终端爱惜、行为监管、审计分析组成的完整过程。通过对终端生命周期管理〔ELM〕的全面技术支撑，可有效保障企业级用户计算机终端的平安运用和标准性管理，提升终端应用价值。全面的终端平安技术手段KSMS面对计算机终端供应全面的平安技术手段，可满意广泛的用户须要。包括：个人防火墙爱惜、注册表爱惜、漏洞关联爱惜、恶意攻击爱惜、补丁分发支持、防病毒联动支持，设备滥用限制、非法外联限制、网络准入限制、程序应用限制、网页访问限制、远程系统维护。为适应不断开展的终端平安需求，KSMS的平安技术还将接着向广度和深度不断延长。强制的平安策略统一管理KSMS通过策略对计算机终端进展平安管理，终端在联网状况下受“在线策略”限制、脱机状况下受“离线策略”爱惜。KSMS策略可分类灵敏定制、分组统一分发，并具备多种策略模板供用户选择。纳入平安管理的计算机终端自动强制执行平安策略，幸免了终端滥用带来的各种风险。支持灵敏的部署方式KSMS系统部署可适用于各种困难的终端网络应用环境，既支持常见的局域网内部署方式，也支持跨网络、跨机构、跨地区的多级网络部署和管理方式，部署方式灵敏便利、易于扩展。主要功能资产管理KSMS企业级的资产管理功能，帮助管理员和信息主管充分驾驭企业范围内IT信息资产状况，为加强IT管理供应依据。硬件信息管理管理员可充分驾驭分散的计算机终端硬件配置及其变更状况〔例如主板、CPU、内存、硬盘等〕，统筹管理，幸免资产流失。软件信息管理管理员可刚好驾驭客户端安装软件及变更状况〔例如操作系统、版本、补丁、所安装的应用软件等〕，便于监视管理。用户身份管理员工用户是企业资产的重要组成局部。KSMS供应基于按组织划分的用户角色的管理，管理员可随时查询用户在线状况以及终端操作系统、进程、设备状况、性能状态等多种信息。终端爱惜KSMS企业级的强制平安策略，供应根底架构爱惜和资产爱惜功能，通过多种手段全方位爱惜计算机终端平安运用。终端访问限制通过IP地址、IP/TCP/UDP/ICMP/IGMP协议、效劳端口等限制，防止遭